Disponibile aggiornamento per due vulnerabilità nei prodotti Cisco

15/05/2019

Cisco Vulnerabilità

Cisco ha rilasciato aggiornamenti di sicurezza per la risoluzione di due vulnerabilità di livello “high” che potenzialmente potrebbe interessare milioni di dispositivi, come router, switch e firewall. Un attaccante remoto potrebbe sfruttare queste due vulnerabilità per installare una backdoor e ottenere il controllo persistente del sistema interessato.

Dettagli sulle vulnerabilità

CVE-2019-1649

La prima vulnerabilità (CVE-2019-1649), scoperta dai ricercatori di Red Balloon e soprannominata Thrangrycat, riguarda i prodotti Cisco che supportano il modulo Trust Anchor (TAm). Il modulo Trust Anchor permette l’avvio in modalità protetta basata su hardware dei dispositivi Cisco rilasciati dal 2013 e garantisce l’autenticità e l’integrità del firmware. Un difetto di di progettazione hardware potrebbe consentire a un utente malintenzionato autenticato la modifica del bitstream di FPGA (Field Programmable Gate Array) bypassando completamente il modulo di sicurezza e consentire l’installazione di un bootloader malevolo. Per sfruttare la falla, l’attaccante dovrebbe possedere i privilegi di root sul dispositivo.

La vulnerabilità è stata testata sui router Cisco ASR 1001-X, ma i dispositivi Cisco che eseguono TAm su FPGA, e quindi potenzialmente vulnerabili, sono milioni in tutti il mondo.  I dettagli completi di questa vulnerabilità verranno rilasciati ad agosto durante la conferenza Black Hat negli Stati Uniti.

Prodotti vulnerabili: i prodotti vulnerabili sono molteplici, comprendono i Cisco Firepower, Cisco Catalyst, Cisco Nexus e molti altri. Per la lista completa dei prodotti si consiglia la consultazione dell’avviso Cisco.

CVE-2019-1862

La seconda vulnerabilità (CVE-2019-1862) riguarda l’interfaccia utente (Web UI) del software Cisco IOS XE che potrebbe consentire ad un utente non autenticato remoto di eseguire comandi sulla shell di un dispositivo vulnerabile con i privilegi di root. Questa vulnerabilità, combinata a quella precedente, potrebbe permette lo sfruttamento di Thrangrycat da remoto. I ricercatori di Red Balloon hanno dimostrato un possibile attacco combinato, dove in una prima fase è stata sfruttata la vulnerabilità RCE (CVE-2019-1862) per ottenere i permessi di root e in una seconda fase è stato bypassato il modulo Trust Anchor (TAm) con la Thrangrycat per installare una backdoor.

Al momento Cisco non ha rilevato attacchi che sfruttano le due vulnerabilità.

Prodotti vulnerabili: tutti i device su cui gira il sistema Cisco IOS XE con la funzionalità HTTP Server abilitata. Lo stato di abilitazione del server HTTP dipende dalla versione del device.

Riferimenti

Dato il numero di informazioni trattate e la rilevanza della vulnerabilità in relazione al numero di device potenzialmente affetti, si consiglia di far riferimento agli avvisi Cisco per controllare l’eventuale impatto sui device in uso e la disponibilità di aggiornamenti nel caso di utilizzi una versione affetta.